後端預防XSS必須要設定的 Header

必須要設定的Header

  • Strict-Transport-Security // 強制將 http 改為 https Request
  • X-Frame-Options // 防止網頁被崁入他人網頁
  • X-XSS-Protection // 啟動 XSS 過濾
  • X-Content-Type-Options 用來避免網頁內容(content-type)的探測問題
  • Content-Security-Policy 可防止多種攻擊
  • session.cookie_httponly 開啟全局的Cookie的HttpOnly屬性,需5.2 以上版本
  • memory_limit // 記憶體使用限制
  • post_max_size // POST 資料最大上限
  • upload_max_filesize // 上傳檔案最大上限
  • max_execution_time // 最長執行時間(單位:秒)
  • display_errors // 關閉錯誤訊息顯示
  • Access-Control-Allow-Origin // 設定特定網域
Access-Control-Allow-Origin

限制資源可以存取的網域。

// 語法
Access-Control-Allow-Origin: <origin> | *

// 範例
Access-Control-Allow-Origin: https://www.justdrink.com.tw
Access-Control-Expose-Headers

限制HEADER顯示的資訊

// 語法
Access-Control-Expose-Headers: <header-name>, <header-name>, ...
// 範例
Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision

各種程式語言的防護方式

相關工具